L'uomo in mezzo con certificato firmato da CA noto e DNS spoofing può funzionare?

1

Supponendo di avere un certificato per il mio server web locale firmato da una ben nota CA come Verisign (quindi sarà attendibile dai browser), e sono in grado di avvelenare DNS in Man-in-the-Middle per reindirizzare un utente che vuole andare a google.com sul mio server web locale che ha lo stesso hostname google.com , quali saranno le conseguenze?

C'è un rischio? Se sì, come prevenirlo?

Non so perché il pinning SSL sia usato solo per le app per dispositivi mobili. Se l'attacco sopra funziona, quindi il blocco SSL può essere una prevenzione. Ma non è usato sul computer ...

    
posta Duke Nukem 04.06.2016 - 01:15
fonte

1 risposta

4

Affinché ciò avvenga, il nome host del server deve corrispondere al nome del certificato. Ciò significa che dovresti ottenere una CA per emettere un certificato come google.com (non probabile che accada) o dovresti ottenere un certificato di origine da una CA che controlli e installare sul computer dell'utente come certificato CA attendibile .

Anche in questo caso, molti siti Web di grandi dimensioni utilizzano pinning della chiave pubblica che costringe il browser ad accettare solo un certificato specifico fino a una data di scadenza prestabilita. Sia Chromium che Firefox supportano il pinning.

    
risposta data 04.06.2016 - 02:12
fonte

Leggi altre domande sui tag